Sitemap
All pages on the site.
Accueil
Notes sur le journal d'événements
- Carving d'enregistrements EVTX supprimés et récupération de journaux écrasés
- Détecter le mouvement latéral dans Security.evtx
- Effacement de journaux d'événements et les trous qui survivent
- Le format de fichier EVTX, décodé
- Triage EVTX : que lire en premier quand vous avez une heure et un hôte
- Logging PowerShell : ce que vous obtenez avec module logging et script block logging activés
- Configuration Sysmon qui attrape de vrais adversaires
- Event ID 4663 expliqué : audit d'accès aux fichiers et au registre avec SACL
- Event ID 4672 expliqué : détecter les logons privilégiés sous Windows
- Event ID 4688 expliqué : audit de création de processus Windows pour le DFIR
- Event ID 4720 expliqué : détecter la création de comptes malveillants dans AD
- Event ID 4768 expliqué : requêtes TGT Kerberos et AS-REP roasting
- Event ID 4769 expliqué : tickets de service Kerberos et kerberoasting
- Event ID 7036 expliqué : changements d'état de service pour le triage DFIR
- Comment ouvrir un fichier .evtx (5 méthodes, sans installation requise)
- Qu'est-ce qu'un fichier .evtx ? Le format du journal d'événements Windows expliqué
- Comment collecter les journaux .evtx d'un système Windows vivant (4 méthodes)
- Event ID 4625 expliqué : détecter brute force, sprays et énumération
- Event ID 1102 expliqué : journal d'audit Security effacé (et ce qui survit)
- Format de fichier EVTX expliqué : chunks, templates et internes BinXML
- PowerShell Event ID 4104 expliqué : scriptblock logging pour DFIR
- Event ID 7045 expliqué : installation de service comme signal de persistance
- Sysmon Event ID 1 expliqué : création de processus pour le triage DFIR
- Event ID 4624 expliqué : logon Windows réussi et référence LogonType
- Commencer ici : guide .evtx pour l'analyste DFIR